Архив новостей

Лжеантивирус-хамелеон

Эксперты BitDefender обнаружили в сети Facebook неординарного троянца, который умело использует идентификаторы и контакты жертвы для самораспространения, блокирует средства защиты и удаляет штатный антивирус на зараженной машине, заменяя его бесполезной имитацией, а также загружает дополнительные модули и поддерживает связь с другими участниками зловредной р2р-сети.

Зловред перехватывает сеанс связи жертвы с другим участником социальной сети, вставляя в чат-диалог провокационное сообщение со ссылкой на некий видеоролик, главным героем которого якобы является объект атаки. Ссылка ведет на поддельную страницу YouTube с соответствующим именем в заголовке (корректно скопированным из профиля) и нелицеприятными комментариями друзей (их имена позаимствованы из списка контактов). При попытке запустить «видеоролик» пользователю предлагается установить новую версию Flash Player, воспользовавшись ссылкой. При ее активации на ПК жертвы вместо «плеера» загружается троянец.

Вредоносная программа добавляет себя к списку разрешенных приложений в брандмауэре или просто его отключает. Она блокирует также все сообщения брандмауэра, системы обновления Windows и антивируса. Одним из компонентов троянца является новаторский лжеантивирус, который умеет детально воспроизводить интерфейс 16-ти популярных защитных решений. Для создания убедительной имитации ему лишь надо определить, которое из них установлено на машине жертвы и какой язык выставлен в персональных настройках. Вооружившись нужными данными, зловред деинсталлирует штатный антивирус, который отныне будет заменять реплика, начисто лишенная защитного функционала.

Другой компонент троянца, даунлоудер, загружает на зараженную машину файл со списками IP-адресов. URL сайта, с которого производится загрузка, зависит от типа операционной системы, установленной на компьютере жертвы. Другой список IP-адресов, которым оперирует троянец, жестко прописан в коде. Эти списки регулярно обновляются и нужны для осуществления полноценного обмена между участниками бот-сети, установки дополнительных модулей и обновлений, а также для продолжения троянской экспансии в социальной сети.

Лжеантивирус-хамелеон

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике